Usare indicatori delle minacce in regole di analisi

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Potenziare le regole di analisi con gli indicatori di minaccia per generare automaticamente avvisi in base all'intelligence sulle minacce integrata.

Prerequisiti

• Indicatori di minaccia. Questi indicatori possono essere generati tramite feed di intelligence sulle minacce, piattaforme di intelligence sulle minacce, importazione in blocco da un file flat o input manuale.
• Origini dati. Gli eventi dei connettori dati devono essere trasmessi all'area di lavoro di Microsoft Sentinel.
• Una regola di analisi nel formato TI map.... Deve usare questo formato per mappare gli indicatori di minaccia esistenti agli eventi inseriti.

Configurare una regola per generare avvisi di sicurezza

L'esempio seguente illustra come abilitare e configurare una regola per generare avvisi di sicurezza usando gli indicatori di minaccia importati in Microsoft Sentinel. Per questo esempio, usare il modello di regola denominato Eseguire il mapping TI dell'entità IP in AzureActivity. Questa regola conferma la corrispondenza tra qualsiasi indicatore di minaccia del tipo indirizzo IP e tutti gli eventi di Attività di Azure. Quando viene trovata una corrispondenza, vengono generati un avviso e un evento imprevisto correlato per l'analisi da parte del team delle operazioni di sicurezza.

Questa specifica regola di analisi richiede il connettore dati di Attività di Azure (per importare gli eventi a livello di sottoscrizione di Azure). Richiede anche uno o entrambi i connettori dati di intelligence sulle minacce (per importare gli indicatori di minaccia). Questa regola si attiva anche con gli indicatori importati o quelli creati manualmente.

1. Nel portale di Azure, passare a Microsoft Sentinel.

2. Scegliere l'area di lavoro in cui sono stati importati gli indicatori di minaccia usando i connettori dati di intelligence sulle minacce e i dati di Attività di Azure usando il connettore dati di Attività di Azure.

3. Nel menu di Microsoft Sentinel, nella sezione Configurazione, selezionare Analisi.

4. Selezionare la scheda Modelli di regola per visualizzare un elenco dei modelli di regola di analisi disponibili.

5. Trovare la regola denominata Eseguire il mapping TI dell'entità IP in AzureActivity e assicurarsi di aver connesso tutte le origini dati necessarie.

   

6. Selezionare la regola Eseguire il mapping TI dell'entità IP in AzureActivity. Selezionare quindi Crea regola per aprire una procedura di configurazione guidata delle regole. Configurare le impostazioni nella procedura di configurazione guidata e quindi selezionare Avanti: Imposta la logica della regola >.

   

7. La parte logica della regola della procedura di configurazione guidata viene prepopolata con gli elementi seguenti:

   • Query usata nella regola.
   • Mapping di entità, che indicano a Microsoft Sentinel come riconoscere entità quali account, indirizzi IP e URL. In caso di eventi imprevisti e indagini, sono quindi disponibili informazioni su come usare i dati contenuti in qualsiasi avviso di sicurezza generato da questa regola.
   • Pianificazione per eseguire questa regola.
   • Numero di risultati della query necessari prima che venga generato un avviso di sicurezza.

   Le impostazioni predefinite nel modello sono:

   • Eseguire una volta ogni ora.
   • Confermare la corrispondenza tra gli indicatori di minaccia degli indirizzi IP della tabella ThreatIntelligenceIndicator e qualsiasi indirizzo IP trovato nell'ultima ora di eventi della tabella AzureActivity.
   • Generare un avviso di sicurezza se i risultati della query sono maggiori di zero per indicare che sono state trovate corrispondenze.
   • Assicurarsi che la regola venga abilitata.

   Per soddisfare i requisiti, è possibile lasciare o modificare le impostazioni predefinite. È possibile definire le impostazioni di generazione di eventi imprevisti nella scheda Impostazioni eventi imprevisti. Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce. Al termine, selezionare la scheda Risposta automatica.

8. Configurare qualsiasi automazione da attivare quando viene generato un avviso di sicurezza a partire da questa regola di analisi. In Microsoft Sentinel, l'automazione usa combinazioni di regole di automazione e playbook basati su App per la logica di Azure. Per maggiori informazioni, vedere Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel. Al termine, selezionare Avanti: rivedi > per continuare.

9. Quando viene visualizzato un messaggio che informa che la convalida della regola è stata superata, selezionare Crea.

Rivedere le regole

Trovare le regole abilitate nella scheda Regole attive della sezione Analisi di Microsoft Sentinel. Modificare, abilitare, disabilitare, duplicare o eliminare le regole attive da lì. La nuova regola viene eseguita immediatamente al momento dell'attivazione e in base alla pianificazione definita.

Secondo le impostazioni predefinite, ogni volta che la regola viene eseguita in base alla pianificazione, tutti i risultati trovati generano un avviso di sicurezza. Per visualizzare gli avvisi di sicurezza in Microsoft Sentinel nella sezione Log di Microsoft Sentinel, consultare la tabella SecurityAlert nel gruppo Microsoft Sentinel.

In Microsoft Sentinel, gli avvisi generati dalle regole di analisi generano anche eventi imprevisti relativi alla sicurezza. Nel menu di Microsoft Sentinel, in Gestione delle minacce, selezionare Eventi imprevisti. I team delle operazioni di sicurezza esaminano e analizzano gli eventi imprevisti per determinare le azioni di risposta appropriate. Per altre informazioni, vedere Esercitazione: Analizzare gli eventi imprevisti con Microsoft Sentinel.

Nota

Poiché le regole di analisi vincolano le ricerche per un periodo superiore a 14 giorni, Microsoft Sentinel aggiorna gli indicatori ogni 12 giorni per assicurarsi che siano disponibili a scopo di corrispondenza tramite le regole di analisi.

Contenuto correlato

In questo articolo si è appreso come usare gli indicatori di intelligence sulle minacce per rilevare le minacce. Per altre informazioni sull'intelligence sulle minacce in Microsoft Sentinel, vedere gli articoli seguenti:

• Usare gli indicatori di minaccia in Microsoft Sentinel.
• Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII.
• Connettere piattaforme di intelligence sulle minacce a Microsoft Sentinel.
• Vedere quali piattaforme TIP, feed TAXII e arricchimenti possono essere facilmente integrati con Microsoft Sentinel.